Como administrador do vSphere, você pode substituir o certificado do endereço IP virtual (VIP) para se conectar com segurança ao endpoint da API do Supervisor por um certificado assinado por uma CA na qual seus hosts já confiam. O certificado autentica o plano de controle do Kubernetes para engenheiros de DevOps, durante o login e nas interações subsequentes com o Supervisor.

Pré-requisitos

Verifique se você tem acesso a uma CA que pode assinar CSRs. Para engenheiros de DevOps, a CA deve ser instalada em seu sistema como uma raiz confiável.

Procedimento

  1. No vSphere Client, navegue até Gerenciamento de carga de trabalho (Workload Management).
  2. Selecione Supervisores (Supervisors) e selecione Supervisor na lista.
  3. Clique em Configurar (Configure) e selecione Certificados (Certificates).
  4. No painel Workload Management Platform, selecione Ações (Actions) > Gerar CSR (Generate CSR).
    Figura 1. Substituindo o certificado padrão do Supervisor

    A guia Configurar certificados exibe os certificados padrão.
  5. Forneça os detalhes do certificado.
  6. Depois que a CSR for gerada, clique em Copiar (Copy).
  7. Assine o certificado com uma CA.
  8. No painel Workload Platform Management, selecione Ações (Actions) > Substituir certificado (Replace Certificate).
  9. Carregue o arquivo de certificado assinado e clique em Substituir certificado (Replace Certificate).
  10. Valide o certificado no endereço IP do plano de controle do Kubernetes.
    Por exemplo, você pode abrir a página de download do Kubernetes CLI Tools for vSphere e confirmar se o certificado foi substituído com êxito usando o navegador. Em um sistema Linux ou Unix, você também pode usar echo | openssl s_client -connect https://ip:6443.